Každý den se snaží nejrůznější lidé najít chyby v systémech a aplikacích, aby mohli získávat data a jiné informace pro svůj prospěch. Naštěstí zde máme i druhou skupinu, která se snaží o to samé, ale jen z toho důvodu, aby byly chyby opraveny. Právě výzkumník Guang Gong, který pracuje v Quihoo 360, přišel na poměrně zásadní chybu v prohlížeči Chrome pro Android.
Konkrétně 3 měsíce pracoval na způsobu, jak zneužít bezpečnostní díru v enginu JavaScript v8. Nakonec se mu podařilo vytvořit skript, jenž může být obsažen na webové stránce. Ten následně propašuje skrze prohlížeč Chrome do smartphonu jakoukoliv aplikaci a nainstaluje ji. Ukázka byla demonstrována na Nexusu 6 (Fi) s nejnovějším softwarem na konferenci PacSec v Tokiu.
Hlavním problémem je, že je vyžadována jen jedna zranitelnost a na nic jiného se nemusí spoléhat. Dokonce není potřeba interakce s uživatelem. Jsou zasaženy všechny verze Chromu pro Android. Google byl již informován o tomto problému a pravděpodobně bude ihned uvolněna nová verze, jež vše napraví.
Zdroj: theregister.co.uk
Přemysl Vaculík
Androiďák, YouTuber, šéfredaktor, tvůrce @dotekomanie a +dotekománie.cz. Také milovník adrenalinových sportů, na které nemá čas.
Warning: Use of undefined constant mytheme_comment - assumed 'mytheme_comment' (this will throw an Error in a future version of PHP) in /data/web/virtuals/36875/virtual/www/domains/beta4.droidrom.com/wp-content/themes/Dotekomanie3/comments.php on line 105
Honza Kopecký
12. 11. 2015, 20:54Týkalo se to ale Andoidu. Tohle je chyba pouze v prohlížeči. I když už to, že lze v systému jakýmkoliv způsobem nainstalovat aplikaci bez interakce uživatele, je dost alarmující.
Ján Valkovič
13. 11. 2015, 0:28Inštalácie bez interakcie používateľa sú celkom bežné, takto fungujú napr. aktualizacie. Mňa prekvapilo, že práve chrome má až takúto bezpečnostnú dieru, alebo presnejšie, tunel.
Miloš Zavřel
12. 11. 2015, 17:24nevypisoval Google financni podporu pro toho kdo najde v systemu zasadni bezpecnostni diru? ta castka nebyla mala;)